THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 04 – 2023

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

 

1       Các mối đe dọa nâng cao – Advanced Threats

1.1      Các cuộc tấn công lợi dụng lỗ hổng bảo mật trên Outlook (CVE-2023-23397)

Sau khi lỗ hổng bảo mật trên Outlook, CVE-2023-23397, được Microsoft công bố, đội ngũ Threat Intelligence của QiAnXin (RedDrip team) đã tiến hành theo dõi và phát hiện được 1 loạt các cuộc tấn công lợi dụng lỗ hổng này. Các cuộc tấn công này được cho là đã được thực hiện từ tháng 03/2022 trở lại đây với danh sách nạn nhân trải dài trên nhiều quốc gia.

Lỗ hổng nằm ở 2 trường đặc biệt được thêm vào các appointment events đính kèm trong các email gửi đến nạn nhân. Khi Outlook thực hiện parse các email này sẽ truy cập đến đường dẫn UNC do hacker thêm vào trong trường đặc biệt, dẫn đến lộ lọt mã hash NTLM từ máy của nạn nhân, tạo điều kiện cho các hành vi tấn công phía sau.

RedDrip team đã thu thập được 1 số mẫu email độc hại được sử dụng trong các cuộc tấn công như dưới đây

Number MD5 VirusTotal upload time
1 2bb4c6b32d077c0f80cda1006da90365 2022-12-29 13:00:43 UTC
2 9f4172d554bb9056c8ba28e32c606b1e 2022-04-01 06:21:07 UTC
3 3d4362e8fe86d2f33acb3e15f1dad341 2022-04-14 11:49:27 UTC
4 e6efaabb01e028ef61876dd129e66bac 2023-03-23 09:03:23 UTC

Mẫu tấn công Công ty Công nghệ Phòng thủ của Thổ Nhĩ Kỳ

Đường dẫn UNC đính kèm trong mẫu này dẫn đến “\\113.160.234[.]229\istanbul“, nội dung email cũng có nhắc đến Istanbul.

Địa chỉ IP trong đường dẫn UNC nằm ở Việt Nam, được phát hiện là của 1 thiết bị Ubiquiti EdgeRouter (có thể đã bị chiếm quyền bởi hacker)

 

 

Phân tích thêm mẫu email thu thập được địa chỉ email người gửi có đăng ký 1 VPS tại wizzsolutions.com, còn địa chỉ email người nhận là của 1 công ty Thổ Nhĩ Kỳ có tên STM (https://www.stm.com.tr/tr) hoạt động chủ yếu về lĩnh vực công nghệ phòng thủ, tàu quân đội và các hoạt động liên quan.

Ngoài ra đội ngũ QiAnXin cũng phát hiện và phân tích thêm các mẫu email tấn công nhắm đến bộ phận Dịch vụ di cư của bang (the State Migration Service) của Ukraina, Bộ Ngoại Giao của Rumani và công ty cung cấp vũ khí của Ba Lan. Thông tin chi tiết: https://ti.qianxin.com/blog/articles/Analysis-of-In-the-wild-Attack-Samples-Exploiting-Outlook-Privilege-Escalation-Vulnerability-(CVE-2023-23397)-EN/

Indicators of Compromise (IoCs):

MD5

e6efaabb01e028ef61876dd129e66bac

3d4362e8fe86d2f33acb3e15f1dad341

9f4172d554bb9056c8ba28e32c606b1e

2bb4c6b32d077c0f80cda1006da90365

C2

\\113.160.234[.]229\istanbul

\\5.199.162[.]132\SCW

\\101.255.119[.]42\event\2431

\\213.32.252[.]221\silence

Nguồn tham khảo: https://ti.qianxin.com/blog/articles/Analysis-of-In-the-wild-Attack-Samples-Exploiting-Outlook-Privilege-Escalation-Vulnerability-(CVE-2023-23397)-EN/

1.2     Hydrochasma – Nhóm tấn công mới nhắm đến các tổ chức Y tế và Vận chuyển ở châu Á

Symantec đã phát hiện ra 1 chiến dịch tấn công thu thập thông tin diễn ra từ tháng 10/2022. Chiến dịch tấn công được thực hiện bởi Hydrochasma, 1 nhóm tấn công mới, với mục tiêu nhắm đến các tổ chức có liên quan đến điều trị và cung cấp vắc-xin cho COVID-19. 1 điểm đáng chú ý là trong chiến dịch này Hydrochasma hoàn toàn sử dụng các công cụ mã nguồn mở để thực hiện tấn công và thu thập thông tin.

Attack Chain

Nhóm này sẽ bắt đầu tấn công nạn nhân bằng việc gửi 1 phishing email có chứa các tệp đính kèm giả mạo các tài liệu liên quan đến tổ chức của nạn nhân hoặc giả mạo dưới dạng 1 bản sơ yêu lí lịch.

Sau khi đã có quyền truy cập đến 1 máy nạn nhân, nhóm tấn công sẽ tải xuống Fast Reverse Proxy (FRP), công cụ giúp kết nối 1 máy chủ nội bộ (local server) đứng sau NAT hoặc firewall ra ngoài Internet. Công cụ này khi tải xuống sẽ được đặt tên giả mạo 1 file cập nhật của Microsoft Edge “MicrosoftEdgeUpdate.exe”. 1 file khác được đặt tên “msedgeupdate.dll” nhưng thực chất là Meterpreter, công cụ thuộc Metasploit framework.

Các công cụ khác được phát hiện trong hệ thống mạng của nạn nhân gồm có:

  • Gogo scanning tool: công cụ quét tự động
  • Process Dumper
  • Cobalt Strike Beacon
  • AlliN scanning tool: công cụ dò quét mạng intranet
  • Fscan
  • Dogz proxy tool: công cụ VPN proxy miễn phí

Ngoài ra trong quá trình phân tích đội ngũ Symantec cũng phát hiện thêm các bộ công cụ khác được sử dụng trong chiến dịch tấn công của Hydrochasma, bao gồm:

  • SoftEtherVPN
  • Procdump
  • BrowserGhost
  • Gost proxy
  • Ntlmrelay
  • Task Scheduler
  • Go-strip
  • HackBrowserData

Các công cụ này đều nhằm mục đích giúp nhóm chiếm quyền truy cập đến các máy nạn nhân, duy trì kết nối, từ đó thực hiện leo thang đặc quyền và thâm nhập sâu hơn vào hệ thống mạng nội bộ

Indicators of Compromise (IoCs)

File Indicators

SHA256

409f89f4a00e649ccd8ce1a4a08afe03cb5d1c623ab54a80874aebf09a9840e5 – Fast Reverse Proxy

47d328c308c710a7e84bbfb71aa09593e7a82b707fde0fb9356fb7124118dc88 – GoGo Scanning Tool

6698a81e993363fab0550855c339d9a20a25d159aaa9c4b91f60bb4a68627132 – Dropper

7229bd06cb2a4bbe157d72a3734ba25bc7c08d6644c3747cdc4bcc5776f4b5b9 – Process Dumper (lsass.exe)

72885373e3e8404f1889e479b3d46dd8111280379c4065bfc1e62df093e42aba – Fast Reverse Proxy

72bc8b30df3cdde6c58ef1e8a3eae9e7882d1abe0b7d4810270b5a0cc077bb1a – Cobalt Strike Beacon

7b410fa2a93ed04a4155df30ffde7d43131c724cdf60815ee354988b31e826f8 – Fast Reverse Proxy

7f0807d40e9417141bf274ef8467a240e20109a489524e62b090bccdb4998bc6 – Process Dumper (lsass.exe)

8c0f0d1acb04693a6bdd456a6fcd37243e502b21d17c8d9256940fc7943b1e9a – Cobalt Strike Beacon

8e32ea45e1139b459742e676b7b2499810c3716216ba2ec55b77c79495901043 – Fast Reverse Proxy

981e5f7219a2f92a908459529c42747ac5f5a820995f66234716c538b19993eb – GoGo Scanning Tool

9ebd789e8ca8b96ed55fc8e95c98a45a61baea3805fd440f50f2bde5ffd7a372 – Fast Reverse Proxy

9f5f7ba7d276f162cc32791bfbaa0199013290a8ac250eb95fd90bc004c3fd36 – Cobalt Strike Beacon

a0f5966fcc64ce2d10f24e02ae96cdc91590452b9a96b3b1d4a2f66c722eec34 – AllIn Scanning Tool

cb03b5d517090b20749905a330c55df9eb4d1c6b37b1b31fae1982e32fd10009 – Fscan

d1c4968e7690fd40809491acc8787389de0b7cbc672c235639ae7b4d07d04dd4 – Shellcode Loader

de01492b44372f2e4e38354845e7f86e0be5fb8f5051baafd004ec5c1567039f – Cobalt Strike Beacon

e378d8b5a35d4ec75cae7524e64c1d605f1511f9630c671321ee46aa7c4d378b – PE File

eba22f50eedfec960fac408d9e6add4b0bd91dd5294bee8cff730db53b822841 – Dropper

fc4b5f2ee9da1fe105bb1b7768754d48f798bf181cbc53583387578a5ebc7b56 – Dogz Proxy Tool

02fe00ffd1b076983f3866c04ca95c56cef88c2564fabb586e11e54986e87ba7

084d1fc4236011d442801e423485c8e58f68dc14ec0a8b716fa0fd210de43dda

1744fac628262aa0cf3810bd5168375959be41764c8ca2fa41950a7b1f8f2fad

1d087f6a17227769bcebc799a2cdf1bb2a8fdf6ba560d21a88bb71f1c213a42c

327fc116f8f48f97292184bb50cb3db418f368b3e2a0fb41267ba40254a35a89

3516f94b0fb57e93c6659d813cbf5fb3617dea7a667c78cb70a1914306327906

41b6d26926706bb68530ddff234f69757e3bbef91c47eb0255313ed86cb3f806

44223e5abd106c077908f03c93b8c8baee7d630f1718f9750f16b786cf88fd06

553e0763cf3a938b5754c9d89939a118abe0b235e4be6920c34f562bd758e586

5a62abc0a2208679e414cc71d1f36ffa14b48df2b73ac520e45d557ad77dd004

6770f815480d7cfa0a6fc8599c08ca6013f608d257a2121233e77374e21c53f8

6cb815863088a0ad367b2a525a572323600596f6875a79536aee57202ef24fd5

6f017ad84d0d06f50b6213a0742838b5ec510f3d06f96e0300048f2da6a35c41

7394ab0ed6d1f62e83fc5f8f1eb720ddd07cbd2bcdf6a00b9b63ef6018fa5f90

7800a4fb0cbdf29815c521ea8b00a23e28d7eb365653f2afcfb5572622727218

7f6a1d6950a9464f27d8651a267563d4630d223bf7ac66851917a57f8fac6550

84502fbe3e5172c39e9a97734e6caac79255abffcb55c22752620d908ff33940

916b63b88de2549c4a5c8e13d51df4cf6996067ae30f24c8bb35c66db7c061df

968b28f7d6abb845f2cc7efa93cdcf7660585e22d589267695726de13afea260

9e8b5a84ad108a761619ca040788dcbf07996a9101cecc5c30ba61f9a06945c1

b53d0a43ea91b3c80bc6c87c0c6946816c38876b2cb2f6f772afe94c54d3ad30

b5c4f420067499522b748a34161ad6e140a7f30ab0b8fa63feef760c5e631679

d0ae66022929c17f31ddf98d88817f0aa70a56ce2ff2df9595b8889c2d3d7e31

d92c50a91bd5b2f06f41a9a5f9937e50b78658d46e3cd04bc3a85f270ce288c2

dc3b714fd6f93c0c0cd2685b6b8cd551896855474bdd09593b8c6b4b7ab6bac2

e7684a4984d9d82115c5cc1b43b9f63a11e7ed333a4e2d92dc15b6e931634bf4

ebc3dabf0a2dafb0790be6dbb4d3509b5ce1259b955172910618a32627b3b668

ee9aefde33ed48d16ecb1c41256fc7d93ddfa8bedfa59b95e8810282ac164d0d

f35b206fe10ad3f57d9c4ecf71a2d2cc06d7c7fe905e567b989f72f147da99dc

f73738e6e33286657cda81f618a74b74745590915a8f4451e7c00473cbe89e1d

fc8a67b80b0b0ecd10dfd90820ffc64923b94c32b04dbb6929a79b9ce027563c

ffdcf74968805e9cc897ca932e4da0f22ea7b3e9b96fcc9082c0c5300ae4cb0d

Network Indicators

IPs

39.101.194[.]61 – Cobalt Strike Beacon C&C

47.92.138[.]241 – Cobalt Strike Beacon C&C

106.14.184[.]148

180.119.234[.]147

Domains

alidocs.dingtalk[.]com.wswebpic[.]com – Cobalt Strike Beacon C&C

csc.zte[.]com.cn.wswebpic[.]com – Cobalt Strike Beacon C&C

taoche[.]cn.wswebpic[.]com – Cobalt Strike Beacon C&C

URLs

hxxp://47.92.138[.]241:8090/update.exe

hxxp://47.92.138[.]241:8000/agent.exe

hxxp://47.92.138[.]241:8000/update.exe

hxxp://47.92.138[.]241:8000/ff.exe

hxxp://47.92.138[.]241:8000/aa.exe

hxxp://47.92.138[.]241:8000/runas.exe

hxxp://47.92.138[.]241:8090/a.exe

hxxp://47.92.138[.]241:8000/t.exe

hxxp://47.92.138[.]241:8000/po.exe

hxxp://47.92.138[.]241:8080/t.exe

hxxp://47.92.138[.]241:8899/t.exe

hxxp://47.92.138[.]241:8000/logo.png

hxxp://47.92.138[.]241:8080/t.png

hxxp://47.92.138[.]241:8000/frp.exe

1.3     Operation Tainted Love – Nhóm APT Trung Quốc tấn công các nhà cung cấp viễn thông Trung Đông

Trong Quý 1/2023, các nhà phân tích của SentinelLabs đã phát hiện các hoạt động tấn công nhắm đến các công ty viễn thông Trung Đông. Các hoạt động này được cho là thuộc về 1 nhóm gián điệp mạng Trung Quốc có liên quan đến chiến dịch Operation Soft Cell.

Các cuộc tấn công bắt đầu bằng việc xâm nhập các máy chủ Microsoft Exchange có kết nối ra ngoài Internet để thực hiện triển khai các webshells phục vụ việc thực thi các câu lệnh. Một khi các máy chủ này bị chiếm quyền và thiết lập kết nối hoàn chỉnh, các hành vi tấn công sau đó sẽ được tiến hành, bao gồm do thám, đánh cắp thông tin bảo mật, lateral movement và vận chuyển dữ liệu ra bên ngoài.

1 đặc điểm nổi bật trong chiến dịch tấn công này là việc sử dụng mã độc đánh cắp thông tin bảo mật có tùy chỉnh. Mã độc này, được đặt tên mim221 triển khai 1 chuỗi các chỉnh sửa của Mimikatz, bổ sung các kỹ thuật anti-detection bao gồm:

  • Các malicious images được in-memory mapping nhằm tránh các kĩ thuật phát hiện file-based và EDR API hooks
  • Tắt/dừng các threads liên quan đến Event Log thay vì các process nhằm ngăn chặn việc ghi log và không gây nghi ngờ
  • Đặt sẵn 1 tính năng đánh cắp thông tin bảo mật trong chính tiến trình LSASS bằng cách lợi dụng các tính năng có sẵn của Windows

Bộ công cụ sử dụng trong chiến dịch này cho thấy có sự liên quan đến chiến dịch Operation Soft Cell được thực hiện bởi nhóm Gallium và có thể có sự kết nối đến nhóm APT4, dựa trên sự tương đồng trong code và signing certificate.

Indicators of Compromise (IoCs)

SHA1 Note
f54a41145b732d47d4a2b0a1c6e811ddcba48558 pc.exe
1c405ba0dd99d9333173a8b44a98c6d029db8178 AddSecurityPackage64.dll (unpatched)
df4bd177b40dd66f3efb8d6ea39459648ffd5c0e AddSecurityPackage64.dll (patched)
814f980877649bc67107d9e27e36fba677cad4e3 pc.dll
508408edda49359247edc7008762079c5ba725d9 getHashFlsa64.dll (unpatched)
97a7f1a36294e5525310f121e1b98e364a22e64d getHashFlsa64.dll (patched)

 

2     Malware

2.1     Phân tích mã độc Bumblebee

Trong thời gian qua, ChatGPT được ưa chuộng và sử dụng bởi đa số người dùng nhằm cải thiện tốc độ cũng như chất lượng công việc. Do số lượng người sử dụng ChatGPT lớn, các nhóm tấn công cũng nhắm tới GPT với mục đích phát tán mã độc. Gần đây, có một số mẫu mã độc sử dụng trình cài đặt của ChatGPT client để triển khai mã độc Bumblebee

Khi khởi chạy file cài đặt, giao diện cài đặt của ChatGPT được hiển thị trên màn hình, đồng thời tiến trình powershell cũng sẽ được thực thi với tham số là file powershell tại đường dẫn “%temp%\Package Installation Dir

File powershell chch.ps1 đã bị obfuscated, kết quả sau khi deobfuscate như sau:

So sánh đối chiếu đoạn code, chúng tôi nhận thấy nhóm tấn công sử dụng lại các đoạn code của script Invoke-ReflectivePEInjection trong bộ công cụ PowerSploit. Trong trường hợp này, đoạn script chch.ps1 thực hiện load Bumblebee Trojan vào trong memory

Qua quá trình debug, chúng tôi nhận thấy danh sách các địa chỉ C2, tuy nhiên trong số đó có các địa chỉ và port không hợp lệ.

Indicators of Compromise (IoCs)

Hash:

9982330ae990386cd74625f0eaa26ae697574694eb2ec330c2acac5e0149fdc0

6271fd1865bed9afbc9e92f36714e97495f5b327f8cda1e02b569e9e1b9daef5

IP Address:

45.61.187.225:443

91.206.178.68:443

193.109.120.252:443

URL:

https://gissa-dev.com/ChatGPT_Setup.msi

3     CVE và các khuyến nghị bảo mật

3.1     Microsoft Patch Tuesday – April 2023

Trong tháng 4, Microsoft đã phát hành các bản vá cho 97 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Windows Defender; SharePoint Server; Windows Hyper-V; PostScript Printer; và Microsoft Dynamics. Trong đó có 7 lỗ hổng được đánh giá mức độ Nghiêm trọng, 90 lỗ hổng được đánh giá là Improtant. Dưới đây là các CVE nổi bật:

3.1.1     CVE-2023-28252 – Windows Common Log File System Driver Elevation of Privilege Vulnerability.

CVSS: 7.8/10

Mô tả:  Driver (.sys) của CLFS tồn tại lỗ hổng leo thang đặc

quyền cho phép kẻ tấn công thực thi các đoạn mã bằng quyền SYSTEM. Microsoft ghi nhận lỗ hổng đang được khai thác, sử dụng bởi các nhóm tấn công

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/updateguide/vulnerability/CVE202328252

3.1.2    CVE-2023-21554 – Microsoft Message Queuing Remote Code Execution Vulnerability.

CVSS: 9.8/10

Mô tả:  Message Queuing tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống có cấu hình dịch vụ Messeage Queuing (Messeage Queuing service). Để khai thác lỗ hổng, attacker sẽ gửi packet MSMQ chứa các đoạn mã độc hại tới MSMQ server, server xử lý packet này và kích hoạt các đoạn mã độc hại

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554

3.1.3    CVE-2023-23384 – Microsoft SQL Server Remote Code Execution Vulnerability.

CVSS: 7.3/10

Mô tả:  Công cụ SQLcmd trong SQL Server tồn tại lỗ hổng Out Of Bound Write Vulnerability cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống bị ảnh hưởng. Tuy nhiên, quá trình khai thác lỗ hổng yêu cầu độ phức tạp cao, do việc chỉ kiểm soát và ghi đè được số lượng rất ít các bytes trong bộ nhớ

Phiên bản ảnh hưởng:

Microsoft SQL Server 2022 for x64-based Systems (GDR)

Microsoft SQL Server 2019 for x64-based Systems (CU 18)

Microsoft SQL Server 2017 for x64-based Systems (CU 31)

Microsoft SQL Server 2016 for x64-based Systems Service Pack 3

Azure Connectivity Pack

Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)

Microsoft SQL Server 2014 Service Pack 3 for x64-based Systems (CU 4)

Microsoft SQL Server 2019 for x64-based Systems (GDR)

Microsoft SQL Server 2014 Service Pack 3 for 32-bit Systems (CU 4)

Microsoft SQL Server 2014 Service Pack 3 for 32-bit Systems (GDR)

Microsoft SQL Server 2014 Service Pack 3 for x64-based Systems (GDR)

Microsoft SQL Server 2008 for x64-Based Systems Service Pack 4 (QFE)

Microsoft SQL Server 2008 R2 for x64-Based Systems Service Pack 3 (QFE)

Microsoft SQL Server 2008 R2 for 32-Bit Systems Service Pack 3 (QFE)

Microsoft SQL Server 2017 for x64-based Systems (GDR)

Microsoft SQL Server 2012 for x64-based Systems Service Pack 4 (QFE)

Microsoft SQL Server 2012 for 32-bit Systems Service Pack 4 (QFE)

Microsoft SQL Server 2008 for 32-bit Systems Service Pack 4 (QFE)

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/updateguide/vulnerability/CVE202323384

3.2   Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1    CVE-2023-29017/CVE-2023-29199 – vm2 Sandbox Escape Vulnerability.

CVSS: 9.8/10

Mô tả:  Tồn tại lỗ hổng trong module vm2 (module cung  cấp môi trường sandbox) trong thư viện Node.js. Khai thác thành công 2 lỗ hổng cho phép kẻ tấn công escaped sandbox và thực thi đoạn mã độc hại. Hiện tại mã khai thác đã được public trên Internet (https://gist.github.com/seongil-wi/2a44e082001b959bfe304b62121fb76d)

Phiên bản ảnh hưởng: vm2 phiên bản 3.9.15 trở về trước

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://github.com/patriksimek/vm2/releases/tag/3.9.17

3.2.2   CVE-2023-30465: Apache InLong SQL injection Vulnerability.

CVSS: 5.3/10

Mô tả:  Tồn tại lỗ hổng SQL Injection cho phép kẻ tấn công có thể trích xuất thông tin

Phiên bản ảnh hưởng: Apache InLong phiên bản từ 1.4.0 đến 1.5.0

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

Phiên bản mới nhất hiện lại là Apache InLong phiên bản 1.6.0 https://inlong.apache.org/downloads/